Em 17 de julho de 2025, pesquisadores revelaram uma campanha que explora a falha CVE‑2021‑41773 no Apache HTTP Server (versão 2.4.49) para instalar o minerador de criptomoedas Linuxsys em servidores Linux compromissados. A persistência dessa exploração mostra o perigo contínuo de falhas antigas sem correção.
A CVE‑2021‑41773 trata-se de uma vulnerabilidade de path traversal que possibilita execução remota de código em servidores afetados. Os invasores utilizam sites legítimos já comprometidos para distribuir um shell script, baixado via comandos como curl ou wget. O script, hospedado inicialmente em “repositorylinux.org” a partir de um IP indonésio, baixa o minerador Linuxsys de cinco sites confiáveis, reduzindo chances de bloqueio por mecanismos de segurança
Além disso, um script “cron.sh” é configurado para garantir que o minerador seja iniciado após reinicializações. Há também indícios de arquivos maliciosos voltados a sistemas Windows, ampliando o escopo de ataque. Esse método engenhoso utiliza infraestrutura legítima para camuflar a atividade maliciosa, facilitando a evasão de detecção
Historicamente, o Linuxsys já foi entregue por meio de outras vulnerabilidades em projetos Apache e plataformas como GeoServer, Confluence e Metabase, evidenciando uma campanha prolongada e bem estruturada.
Dica de prevenção
Atualize o Apache HTTP Server: versões anteriores à 2.4.50 são vulneráveis — atualize imediatamente.
Implemente monitoramento de integridade: verifique mudanças em scripts, crontabs e arquivos de sistema.
Restrinja acesso à internet: bloqueie downloads automáticos feitos por curl, wget, entre outros, a partir do servidor.
Ferramentas de defesa como EDR e IPS detectam atividade suspeita relacionada a mineração e persistência maliciosa.
A reinvenção da CVE‑2021‑41773 para instalação do minerador Linuxsys mostra que hackers continuam explorando vulnerabilidades mesmo antigas. Para proteger suas infraestruturas, é essencial manter servidores atualizados, migrar para versões seguras do Apache e fortalecer o monitoramento ativo. A LC SEC oferece apoio especializado para proteger ambientes críticos e garantir segurança contínua. Conheça nossos serviços em lcsec.io